QRコード活用したフィッシング対策、メディアスティックがASPサービス

メディアスティックは12月13日より、QRコードと携帯電話を活用したASP形式のフィッシング対策サービスを開始した。

[ITmedia]

　メディアスティックは12月13日、QRコードを活用したASP形式のフィッシング対策サービスを開始したことを発表した。

　このサービスでは、暗号化されたQRコード（MSコード）を携帯電話のリーダーで読み取ることにより、正式なサイトと偽サイトとの区別を付けられるようにする。エンドユーザーがツールバーや専用エージェントなどを導入することなく、手元の携帯電話を活用して確認を行える点が最大の特徴だ。

　同サービスを利用してサイトの正当性を確認する流れは以下のようになる。

　まず、PCでWebサイトにアクセスすると、ページ上に暗号化されたQRコードが表示される。このQRコードを携帯電話で読み取り、端末IDと組み合わせる形で認証を実行する。

携帯電話でWebページ上の暗号化されたQRコードを読み取る

　認証処理が完了すると、Web画面の表示が変わり、同時に携帯電話にはあらかじめユーザーが登録しておいた「合い言葉」が示される仕組みだ。もしQRコードがうまく読み取れない場合、あるいは合い言葉が表示されない場合は、フィッシング詐欺の可能性が高い「偽サイト」と判断できる。

認証が完了すると携帯電話には「合い言葉」が、Webには認証完了を知らせる画面が表示される

　「今までにもいろいろフィッシング対策ソリューションはあったが、ソフトウェアをインストールする必要があるなど、手間が掛かるものが多かった。このサービスはそうした手間を掛けることなく、他の人のPCやネットカフェなど、どこのPCからでも使いたいときに利用できる」と、メディアスティックの代表取締役社長、宮内淑子氏は述べている。

　同氏によると、ユーザーにアプリケーションのダウンロードといった何らかの操作を強いると、とたんにレスポンス率は低くなるという。今回のサービスでは、携帯電話という普及したツールを用いて、手軽に相手の真贋性を確認できるようにした。「背後はしっかり固めつつ、分かりやすい形で安全を提供したい」（同氏）

　認証のために表示されるQRコードは、ちょうどワンタイムパスワードと同じように、アクセスのたびに中間プログラムを介して新たに発行され、しかも有効期限が設定されている。本体はFlash形式となっており、通信相手をそのつど確認する仕組みで、偽装やなりすましを防ぐ。

　また同サービスは基本的にASP形式として提供されるため、QRコード発行や認証の仕組みはメディアスティックのデータセンター側で実施される。サービス事業者側は、既存のHTMLコードに若干変更を加える程度で利用できるという。CGIが動作する環境であれば、Webサーバの種類やプラットフォームは問わない。

　料金は、10万ユーザーまで対応可能な標準タイプが初期導入費用、登録更新料ともに18万円。この場合、認証後のPCや携帯画面には、メディアスティックのロゴが表示される。一方、自社独自の画像などを利用するカスタマイズ版では、年間使用料が、10万ユーザーまでの場合で120万円からとなる。すでに、サイドリバーが自社ポータルサイトでの導入を決めており、2007年1月より運用を開始する予定だ。